Questo documento introduce i bucket di log, ovvero i container che Cloud Logging utilizza per archiviare i dati di log. Fornisce informazioni su posizione, gestione della chiave di crittografia e conservazione dei dati per i bucket log. Inoltre, evidenzia dove puoi utilizzare i criteri dell'organizzazione o le impostazioni predefinite delle risorse per Cloud Logging per controllare la posizione e la crittografia dei nuovi bucket di log nelle cartelle o nelle organizzazioni.
Informazioni sui bucket di log
Per impostazione predefinita, Cloud Logging cripta i contenuti dei clienti archiviati at rest. I dati archiviati nei bucket dei log da Logging vengono criptati utilizzando chiavi di crittografia delle chiavi, un processo noto come crittografia envelope. L'accesso ai dati di logging richiede l'accesso a queste chiavi di crittografia delle chiavi. Per impostazione predefinita, questi sono Google Cloud-powered encryption keys e non richiedono alcuna azione da parte tua.
La tua organizzazione potrebbe avere requisiti normativi, di conformità o di crittografia avanzata che la nostra crittografia at-rest predefinita non fornisce. Per soddisfare i requisiti della tua organizzazione, anziché utilizzare Google Cloud-powered encryption keys, puoi gestire le tue chiavi.
I bucket di log sono risorse regionali con una posizione fissa. Cloud de Confiance by S3NS gestisce l'infrastruttura in modo che le tue applicazioni siano disponibili in modo ridondante in tutte le zone all'interno di quella regione.
Il periodo di conservazione dei dati archiviati da un bucket dei log dipende dal bucket dei log. Questo documento contiene informazioni sulla conservazione dei dati.
Puoi creare visualizzazioni dei log in un bucket di log. Una visualizzazione log fornisce l'accesso solo a un sottoinsieme dei dati di log archiviati in un bucket di log. Per ogni bucket di log, Cloud Logging crea automaticamente una visualizzazione di log che fornisce l'accesso a ogni voce di log nel bucket di log. Controlli l'accesso a una visualizzazione log utilizzando Identity and Access Management (IAM).
Per eseguire query e visualizzare i dati di log, utilizza Esplora log. Questa pagina ti aiuta a risolvere i problemi e analizzare le prestazioni dei tuoi servizi e delle tue applicazioni. Puoi visualizzare singole voci di log e filtrare i dati di log. Questa interfaccia ha un'impostazione dell'ambito, che consente di cercare i dati di log per progetto, bucket di log o visualizzazione log.
Per saperne di più, consulta Eseguire query e visualizzare le voci di log.
Supporto di organizzazioni e cartelle
Per aiutare la tua organizzazione a soddisfare le esigenze di conformità e normative, Logging supporta sia le policy dell'organizzazione sia le impostazioni predefinite delle risorse:
Per le organizzazioni e le cartelle, le impostazioni predefinite delle risorse per Cloud Logging specificano la posizione dei bucket di log creati dal sistema. Specificano inoltre come vengono gestite le chiavi di crittografia per tutti i bucket log.
Una policy dell'organizzazione può limitare la posizione dei nuovi bucket di log definiti dall'utente. La registrazione supporta le policy dell'organizzazione che specificano le regioni in cui è possibile o meno creare bucket di log.
Bucket di log creati dal sistema
Per ogni progetto, account di fatturazione, cartella o organizzazione Cloud de Confiance ,
Cloud Logging crea due bucket di log, uno denominato _Required e l'altro
denominato _Default. A meno che non siano configurate le impostazioni predefinite delle risorse per Cloud Logging, questi bucket hannoGoogle Cloud-powered encryption keys e Cloud Logging seleziona la loro posizione.
Non puoi eliminare i bucket di log creati dal sistema.
_Required bucket di log
Il bucket di log _Required archivia le voci di log necessarie per la conformità
o per scopi di controllo. Per questo motivo, non puoi eliminare questo bucket di log e non puoi modificare le voci di log archiviate in questo bucket.
Le voci di log in questo bucket di log vengono conservate per
400 giorni; non puoi modificare questo periodo di conservazione.
Le voci di log archiviate nel bucket di log _Required per una risorsa
hanno origine anche in quella risorsa. ovvero il bucket di log _Required in un progetto Cloud de Confiance può archiviare solo le voci di log provenienti da quel progetto.
Il bucket di log _Required archivia i seguenti tipi di voci di log:
- Audit log delle attività di amministrazione
- Audit log degli eventi di sistema
- Audit log di amministrazione di Google Workspace
- Log di controllo di Enterprise Groups
- Log di controllo degli accessi
_Default bucket di log
Il bucket di log _Default archivia le voci di log che non vengono archiviate automaticamente
nel bucket di log _Required. Poiché il bucket di log _Default è
stato creato dal sistema, non puoi eliminarlo. Tuttavia, puoi
modificare le voci di log archiviate in questo bucket di log.
_Default per
30 giorni.
Ad esempio, questo bucket di log memorizza:
- Audit log dell'accesso ai dati.
- Audit log di policy negata.
- Log generati da applicazioni e servizi. Cloud de Confiance by S3NS
Bucket di log definiti dall'utente
Puoi creare bucket di log definiti dall'utente in qualsiasi progettoCloud de Confiance . Quando crei un bucket di log definito dall'utente, selezioni la posizione. Hai la possibilità di fornire una chiave di crittografia gestita dal cliente.
Puoi modificare ed eliminare i bucket di log definiti dall'utente. Per proteggerti dall'eliminazione di un bucket di log che archivia voci di log che rientrano nel periodo di conservazione, puoi bloccare il bucket di log per impedire gli aggiornamenti.
Controllare l'accesso a un bucket di log
I ruoli e le autorizzazioni IAM controllano l'accesso ai dati dei log. Ad esempio, puoi eseguire tutte le seguenti operazioni:
- Concedi l'accesso in lettura e modifica a un bucket di log.
- Concedi l'accesso in modifica a un bucket di log in base all'iscrizione al gruppo utilizzando i tag.
- Controlla l'accesso a campi specifici in una voce di log configurando l'accesso a livello di campo in un bucket di log.
Concedi l'accesso a un sottoinsieme di voci di log in un bucket di log creando una visualizzazione dei log in quel bucket di log.
Ogni bucket di log ha una visualizzazione di log predefinita, che in genere include ogni voce di log nel bucket di log. Per il bucket di log
_Default, la visualizzazione dei log predefinita esclude le voci dei log di accesso ai dati.
Per concedere a un utente le autorizzazioni necessarie per visualizzare e analizzare le voci di log, in genere viene concesso uno dei seguenti ruoli IAM:
Ruolo Logs Viewer (
roles/logging.viewer): concede l'accesso a tutte le voci di log nel bucket_Requirede alla visualizzazione dei log predefinita nel bucket_Default.Ruolo Visualizzatore log privati (
roles/logging.privateLogViewer): concede l'accesso a tutti i log nei bucket_Requirede_Default, inclusi i log di accesso ai dati.
Se crei bucket di log o visualizzazioni di log definiti dall'utente sui bucket di log, sono necessarie autorizzazioni aggiuntive. Per saperne di più sui ruoli, consulta Controllo dell'accesso con IAM.
Elenco delle regioni supportate
I bucket di log sono risorse a livello di regione. L'infrastruttura che archivia,
indicizza e cerca le voci di log si trova in una posizione geografica
specifica. Ad eccezione dei bucket di log nelle regioni global, eu o us, Cloud de Confiance by S3NS gestisce l'infrastruttura in modo che le tue applicazioni siano disponibili in modo ridondante nelle zone all'interno della regione del bucket di log.
Le seguenti regioni sono supportate da Cloud Logging:
| Nome regione | Descrizione della regione |
|---|---|
u-france-east1 |
Francia |
global |
Log archiviati in qualsiasi data center che si trova in una regione supportata. I log potrebbero essere spostati in data center diversi. Nessuna garanzia di ridondanza aggiuntiva. Se vuoi scegliere la posizione di archiviazione per i dati di log, utilizza un bucket di log regionale. |